每日安全資訊：Mozilla 為 Firefox 上週的 bug 致歉 | Linux 中國

由於 Mozilla 方面的一個失誤，導致許多 Firefox 使用者在上週末遇到了附加元件無法使用的 bug 。後來該公司釋出了更新，才讓瀏覽器恢復正常。對於此事，這家機構現已發表正式道歉，詳細解釋發生了怎樣的事情，且承諾會刪除期間為了推出修複程式而收集的私人資料。據悉，為了修複 bug，Firefox 初期希望使用者啟用遙測選項。因為在預設的情況下，其出於隱私考量而禁用了此類資料收集選項。

現在，我們已經知道附加元件遇到的故障，源自安全證書方面的 bug 。在 Mozilla Hacks 的一篇部落格文章中，技術長 Eric Rescorla 已經給出了詳細的解釋。

Joe Hidebrand 在另一篇文章中寫到：

我們在努力為 Firefox 帶來極棒的體驗，但可惜上週遭遇了失敗，對此我們深表歉意。

過去幾年，我們花費了很多時間，來思考如何將附加元件（Add-ons）變得更加安全。然而鑒於附加元件的功能是如此的強大，我們也必須努力構建和部署一套系統，以免使用者遭受惡意附加元件的侵擾。

至於上週的問題，其實源自防護系統中的一項錯誤部署—— 保險樣式導致附加元件被禁用了。

儘管我們認為這套機制的基本設計原則是合理的，但仍會努力改進該系統，以防將來再次發生類似的問題。

此外，Hildebrand 還向關註 Firefox 最初“緊急修複”時段收集私人資料一事的網友們保證：

為儘快解決這個問題，我們曾呼籲使用者開啟遙測選項，以獲取附加資訊。

不過在 5 月 8 日 23:28 分的 Firefox 附加元件部落格上，我們宣佈已經不再需要開啟遙測選項，所以請大家根據自己的真實意願來選擇是否退出。

為盡可能地尊重使用者，Mozilla 決定刪除 5 月 4 日 11:00 到 5 月 11 日 11:00 期間手機的所有使用者的遙測與研究資料。

最後，Mozilla 表示將會披露與本次事件有關的更多細節，感興趣的朋友可以留意後續釋出的報告。

更多資訊

涉及 2.75 億條印度公民資訊的 MongoDB 資料庫被曝光和公開索引

援引外媒Security Discovery報道，他們於5月1日發現了一個未經保護和公開索引的MongoDB資料庫，其中包括了涉及印度公民的個人身份資訊的275,265,298條記錄。這些資訊中包括姓名、電子郵件地址、性別、教育水平和專業領域、專業技能和職稱、手機號碼、就業經歷和當前僱主、出生日期以及當前的薪資水平。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190511-5.html

研究人員披露駭客入侵了三家美國防毒軟體公司

Advanced Intelligence (AdvIntel) 公司的研究人員透露，名叫 Fxmsp 的組織正在積極銷售三家美國防毒軟體公司的原始碼和網路訪問。它提供了樣本作為證據證明其宣告是有效的。AdvIntel 的研究總監 Yelisey Boguslavskiy 稱他們已經通知了相關公司和美國執法機構。在安全社群 Fxmsp 已經是名聲在外，該組織在今年三月透露它能提供美國三家頂級防毒軟體公司的獨有資訊。它在地下駭客市場銷售這些公司軟體開發的原始碼和網路訪問，開價超過 30 萬美元。

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190511-3.html

惡意差評案件多發 侵蝕網路營商環境亟待立法規制

傳統的網路評價機制亟待改進，以最佳化網路營商環境。近日在杭州網際網路法院落槌的一起民事案件，將這一問題再次提上議事日程。在這起案件中，7 名 90 後組成的差評師團夥被判決賠償阿裡經濟損失 8 萬餘元、合理支出 4 萬餘元。而這已經是他們因同一件事情所受到的第二次懲罰。

此前，深圳市龍華區法院以敲詐勒索罪對他們分別判處 7 個月至 2 年不等的刑期。這意味著因為惡意差評，這一團夥遭到刑事民事的“雙殺”。

來源： 法制日報

詳情： http://www.dbsec.cn/zx/20190511-2.html

美國巴爾的摩市政網路遭勒索軟體攻擊

美國巴爾的摩市政網路 5 月 7 日遭勒索軟體攻擊後下線。攻擊沒有影響警察、消防和緊急反應系統，但市政府的其它部門都在某種程度上受到衝擊。市政府的資訊長 Frank Johnson 在新聞釋出會上證實，攻擊他們的勒索軟體是 RobbinHood。

逆向工程 RobbinHood 樣本的安全研究人員 Vitali Kremez 稱，惡意程式在一個系統只針對檔案，不會透過網路共享傳播。這意味著惡意程式是逐個的部署到機器上的，攻擊者需要在部署前已經獲得了網路的管理級別的訪問許可權。

市長 Bernard “Jack” Young 表示， IT 部門有備份，但無法簡單的替換備份。他說他不希望人們認為他們沒有備份。

來源：solidot.org

詳情： http://www.dbsec.cn/zx/20190511-1.html